Questa pagina è stata tradotta dall'API Cloud Translation.

Eseguire una ricerca nei log non elaborati

Supportato in:

Google secops SIEM

Questo documento spiega come utilizzare Google Security Operations per cercare i log non elaborati inseriti nel tuo tenant Google SecOps e ottenere il contesto pertinente, inclusi eventi ed entità associati.

Le ricerche nei log non elaborati mettono in correlazione gli eventi non elaborati con gli eventi UDM generati. Una ricerca nei log non elaborati ti aiuta a identificare le lacune di normalizzazione e i log non analizzati che non vengono elaborati dai parser.

Per eseguire una ricerca nei log non elaborati:

Vai a Indagine > Ricerca SIEM.
Nel campo di ricerca, aggiungi il prefisso raw = alla tua ricerca e racchiudi il termine di ricerca tra virgolette (ad esempio, raw = "example.com").
Seleziona la ricerca dei log non elaborati dall'opzione di menu. Google SecOps trova i log non elaborati, gli eventi UDM e le entità associate. Puoi anche eseguire la stessa ricerca (raw = "example.com") dalla pagina di ricerca UDM.

Puoi utilizzare gli stessi filtri rapidi utilizzati per perfezionare i risultati di ricerca UDM. Seleziona il filtro che vuoi applicare ai risultati dei log non elaborati per perfezionarli ulteriormente.

Ottimizzare le query dei log non elaborati

Le ricerche nei log non elaborati sono in genere più lente rispetto alle ricerche UDM. Per migliorare le prestazioni della ricerca, limita la quantità di dati su cui esegui la query modificando le impostazioni di ricerca:

Selettore dell'intervallo di tempo: limita l'intervallo di tempo dei dati su cui esegui la query.
Selettore origine log: limita la ricerca dei log non elaborati solo ai log provenienti da origini specifiche, anziché a tutte le origini log. Nel menu Origini log, seleziona una o più origini log (il valore predefinito è tutte).
Espressioni regolari: utilizza un'espressione regolare. Ad esempio, raw = /goo\w{3}.com/ corrisponderebbe a google.com, goodle.com, goog1e.com per limitare ulteriormente l'ambito della ricerca nei log non elaborati.

Tendenza nel tempo

Utilizza il grafico delle tendenze per comprendere la distribuzione dei log non elaborati nel periodo di tempo della tua ricerca. Puoi applicare filtri al grafico per cercare log analizzati e log non elaborati. Fai clic sulla Freccia giù per comprimere o espandere il grafico.

Risultati del log non elaborato

Quando esegui una ricerca nei log non elaborati, i risultati sono una combinazione di eventi UDM ed entità generate dai log non elaborati che corrispondono alle tue ricerche, insieme ai log non elaborati. Puoi esplorare ulteriormente i risultati di ricerca facendo clic su uno qualsiasi dei risultati:

Evento o entità UDM: se fai clic su un evento o un'entità UDM, Google SecOps mostra gli eventi e le entità correlati, insieme al log non elaborato associato all'elemento.
Log non elaborato: se fai clic su un log non elaborato, Google SecOps mostra l'intera riga del log non elaborato, insieme all'origine del log.

Scarica i risultati dei log non elaborati

Per scaricare i risultati del log grezzo in un file CSV, nella tabella dei risultati Log grezzo, fai clic su Menu > Scarica come CSV.

Per impostazione predefinita, vengono salvati i dati nelle colonne Timestamp, Tipo di evento e Log grezzo. Puoi utilizzare il gestore delle colonne per selezionare le colonne da scaricare. La colonna Log grezzo è sempre inclusa.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.